大型企业资金信息系统安全保障策略及设计
2017-07-08龙华
龙华
【摘 要】对于企业重要信息系统的安全保障,通常要求按照信息安全等级保护相关标准和制度进行建设。论文基于《信息系统安全等级保护基本要求》第三级的规定,提出了某大型企业资金集中管理信息系统安全保障的策略,并对系统各个重要环节进行了安全设计,采用各种安全技术予以实施,以确保资金的安全管理。
【Abstract】For the security of important information system of the enterprise, we usually construct it according to the relevant standards and the level of information security protection system. Based on third level regulation of the "Basic Requirements of the Information System Security Level Protection", the paper puts forward the security strategy of the centralized fund management information system in a large enterprise, and the security design is made for the important links ,using a variety of security technologies to put it into effect to ensure the safety management of funds.
【关键词】信息系统;资金系统;等级保护;第三级保护;资金安全
【Keywords】information system; funding system; hierarchy protection; third stage protection; fund safety
【中圖分类号】TP309 【文献标志码】A 【文章编号】1673-1069(2017)06-0027-03
1 引言
随着经济全球化的发展,企业面临着更多的机遇和挑战。资金是集团企业进行生产、经营等一系列经济活动的最基本要素,是企业的命脉。资金管理贯穿于企业整个生产经营的始末。对于经营者而言,掌握资金过去、现在、未来的流动状况,对投资决策和经营决策有举足轻重的作用。对于所有者而言,还需要掌握资金的安全和控制资金使用的合理性。因此,必须为资金管理寻找一个强有力的系统支持,满足对资金的集中管理,实现对各经营单位资金的监控,并为集团财务管理的决策和分析提供所有与资金相关的信息。由此,资金信息系统成了企业信息化系统的重要组成部分,对于资金管理系统的信息安全保障显得尤为重要。
信息安全等级保护制度是我国信息安全领域的一项基本制度,开展信息安全等级保护工作是保障重要信息系统安全的重大措施,是事关国家安全、社会稳定、国家利益的一项重要任务。当前,各行各业均在按照要求构建自己的信息系统安全保障体系。
信息系统安全保护等级分为五级,某大型企业资金集中管理系统是该企业安全性要求最高的信息系统,按照信息系统安全保护等级定级指南被划为三级保护[1]。第三级基本要求在技术上包括5个方面:物理安全、主机安全、网络安全、应用安全和数据安全。此文重点对资金集中管理系统的以上五个方面进行安全保障体系设计。按照“保障资金安全,保障系统安全,满足法律法规要求”的总体安全目标,依据国家信息安全等级保护三级标准,遵照人民银行、银监会信息安全监管要求,结合企业资金安全内控准则,针对应用安全控制的要求从业务应用、IT网络基础设施、安全管理运维三个层面进行资金信息安全建设。针对资金信息系统安全保障工作进行了详细阐述。
2 资金集中管理安全体系目标
资金集中管理的安全体系目标包括如下几个方面。
①业务流程安全
通过深入分析各业务流程可能存在的风险,并结合业务流程的特点,选择相应的安全保护措施(如:安全隔离、统一用户认证、专机认证保护、数字签名、数据加密、完整性保护等),确实保障各项业务流程的安全。
②信息系统安全
严格按照信息系统安全的要求,对核心业务系统采用专网保护,对关键业务流程采用专用系统进行隔离,信息系统间的数据交换根据机密性、完整性和抗抵赖性进行保护,强化负载均衡、备份容灾实现系统的高可用性。
③网络系统安全
建设财务公司专网,实现专网与其他网络的安全隔离。专网和其他网络之间的安全通信要进行访问控制;部署网管系统,对网络进行安全监控,保障专网和其他网络安全可靠地运行。
④业务操作环境安全
核心业务系统及关键业务流程只能通过专机,在用户使用UKey认证登录后才能访问。 并且,所使用的专机只能是通过特别认可并授权的专机设备,它们要具有安全的计算机终端环境。
⑤安全审计系统
从性能、功能上,对安全审计系统进行全面提升,满足安全审计需求;实现审计日志的全面收集、关键风险的有效识别;智能发现、识别风险,实时报警。
⑥网络管理系统
对整个系统实施全面、实时监控、预警报警。
⑦系统运维安全
在处理总部机房内部设备的测试、维护、升级等工作时,要使用现场运维专用笔记本。现场运维专用笔记本的安全存放、使用以及维护管理要遵守相应的管理办法。
3 资金信息系统安全体系策略
资金集中管理系统安全范围包括:财务公司本部及所有分支机构;所有资金集中业务关键支付流程、支付环节、支付岗位和支付操作人员。信息系统安全体系策略主要涵盖以下几个方面:
